Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo de ‘Pagar o Consentir’
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
La Agencia de Seguridad de Ciberseguridad e Infraestructura de EE. UU. (CISA, por sus siglas en inglés) ha agregado una vulnerabilidad de seguridad que afecta al servidor Microsoft SharePoint a su catálogo de Vulnerabilidades Explotadas Conocidas (KEV) basándose en evidencia de explotación activa en la naturaleza.
La vulnerabilidad, identificada como CVE-2023-24955 (puntuación CVSS: 7.2), es una falla crítica de ejecución remota de código que permite a un atacante autenticado con privilegios de Propietario del Sitio ejecutar código arbitrario.
«En un ataque basado en red, un atacante autenticado como Propietario del Sitio podría ejecutar código de forma remota en el Servidor SharePoint», dijo Microsoft en un aviso. La falla fue abordada por Microsoft como parte de sus actualizaciones del martes de parches de mayo de 2023.
El desarrollo llega más de dos meses después de que CISA agregara CVE-2023-29357, una falla de escalada de privilegios en SharePoint Server, a su catálogo KEV.
Vale la pena señalar que una cadena de exploits que combina CVE-2023-29357 y CVE-2023-24955 fue demostrada por StarLabs SG en el concurso de piratería Pwn2Own Vancouver el año pasado, lo que les valió a los investigadores un premio de $100,000.
Dicho esto, actualmente no hay información sobre los ataques que aprovechan estas dos vulnerabilidades y los actores de amenazas que pueden estar explotándolas.
Microsoft anteriormente dijo a The Hacker News que «los clientes que hayan habilitado las actualizaciones automáticas y habiliten la opción ‘Recibir actualizaciones para otros productos de Microsoft’ dentro de la configuración de Windows Update ya están protegidos».
Las agencias del Ejecutivo Federal Civil (FCEB) están obligadas a aplicar las correcciones antes del 16 de abril de 2024, para asegurar sus redes contra la amenaza activa.
Meta tiene un plazo para abordar las preocupaciones de la UE sobre el modelo...
Expertos descubren una red de delincuencia cibernética china detrás de actividades de juego y...
Google abandona el plan de eliminar gradualmente las cookies de terceros en Chrome Luis...